울지않는벌새 : Security, Movie & Society

국내 무료 백신 : 알약(ALYac) 2.0 공개용 - 환경 설정 (1/2)

벌새::Software
이스트소프트(ESTSoft)사에서 제공하는 무료 백신 알약(ALYac) 2.0 공개용 버전의 환경 설정에 대하여 2부에 걸쳐 살펴보도록 하겠습니다.

1부에서는 환경 설정 중 검사(실시간 감시, 수동 검사, 검사 공통, 탐지 제외) 항목에 대해 자세히 살펴보고, 2부에서는 환경 설정 중 PC 최적화, 작업 설정, 기타 설정 항목에 대해 살펴보도록 하겠습니다.

개인적으로 보안 제품을 효율적으로 사용하기 위해서는 프로그램 설치 후 가장 먼저 환경 설정을 제대로 설정하는 것이 중요하다고 생각합니다.

알약 2.0 버전의 환경 설정에 접근하기 위해서는 시스템 트레이 하위 메뉴, 메인 화면 및 메인 화면 메뉴(Menu)를 통해 들어갈 수 있습니다.

1. 검사 : 실시간 감시


● 실시간 감시


실시간 감시의 기본 치료 설정값은 [치료 전 검역소에 원본 백업]을 통해 치료된 파일을 검역소에서 확인할 수 있으며, 자동 치료를 원하시는 분들은 추가적으로 [탐지 항목 자동 치료]에 체크를 하시기 바랍니다.

개인적으로 보안 제품의 자동 치료는 오진 등의 문제가 있을 수 있으므로, 되도록 사용자가 1차적으로 진단된 항목에 대해 확인을 하시고 치료를 하시기를 권장합니다.

사용자가 실시간 감시 사용을 중지하도록 변경할 경우, 그림과 같이 [실시간 감시 중지 옵션]으로 세부적인 설정을 할 수 있도록 구성되어 있습니다.

참고로 사용자가 실시간 감시를 특정 중지 옵션을 지정하여 중지하여도 언제든지 다시 실시간 감시를 켤 수 있으므로 오해하지 않도록 하시기 바랍니다.

● 실시간 감시 : 고급 설정

실시간 감시의 세부적인 설정을 위한 고급 설정 항목에서는 기본값으로 제공하는 항목 이외에 [휴리스틱 검사 사용] 항목을 체크하여 이용하시는 것이 진단률 향상에 도움이 됩니다.

특히 BitDefender, Sophos 엔진에서 제공하는 휴리스틱 진단 방식은 알려지지 않은 변종에 대한 대응력 향상에 도움을 줄 수 있습니다.

알약 2.0 버전에서는 휴리스틱으로 진단된 항목에 대해 기본값으로 진단창에서 체크가 해제된 상태로 제시가 되며, 이유는 휴리스틱은 시그니쳐(DB) 진단과는 다르게 오진 등의 문제가 발생할 수 있기 때문입니다.

그러므로 휴리스틱 진단 항목을 치료하기 위해서는 진단창에서 체크를 사용자가 직접하시거나, 환경 설정 중 [휴리스틱 탐지 항목은 탐지 결과에서 기본 선택 해제] 항목의 체크를 해제하시고 이용하시기 바랍니다.

복합 파일 검사는 하나의 파일이 압축 파일과 같은 다수의 파일로 구성되어 있거나, 설치 파일(Setup 파일)과 같은 패키지(Package)로 구성된 파일에 대한 검사 방식을 의미합니다.

실시간 감시에서는 기본적으로 압축 파일에 대한 검사는 제외 처리는 하는 것이 기본값이며, 설치 패키지 파일에 대해서는 사용자가 원할 경우 체크를 하여 실시간 감시에서 검사를 하도록 설정하시고 이용하시기 바랍니다.

참고로 압축 파일과 설치 패키지 파일에 대해 시스템 자원의 효율성을 위하여 기본값으로 8MB 이하의 파일 크기까지만 검사를 제한하도록 설정할 수 있습니다.

개인적으로 실시간 감시에서의 복합 파일 검사는 사용자 PC 사양에 따라 사용자가 결정할 부분이므로 시스템이 느려지는 부분이 없도록 설정을 하시기 바랍니다.

실시간 검사 대상은 기본값으로 감염 가능성이 높은 파일(실행 파일, 문서 파일 등)에 대해 프로그램에서 지정한 파일 확장자를 중심으로 검사가 이루어지도록 설정되어 있으며, 추가적으로 사용자가 검사를 원하는 확장자를 등록할 수 있습니다.

(개선할 점) 감염 가능성이 높은 파일에 대한 세부적인 파일 확장자명을 공개를 하였다면 [검사 파일 형식 사용자 지정]에 있어서 활용도가 높지 않을까 싶습니다.

● 악성 봇 사전 방역

악성 봇 사전 방역 기능은 사용자 PC에 악성 봇으로 의심되는 동작이 있을 경우, 시스템 트레이 상단에 팝업창 방식으로 [악성 봇 사전 방역 알림]창이 생성되어 신고를 할 수 있도록 구성되어 있습니다.

2. 검사 : 수동 검사

수동 검사는 빠른 검사와 정밀 검사를 의미하며 기본값으로 OS가 설치된 디스크가 설정되어 있습니다.

정밀 검사시에는 [정밀 검사 전 임시 파일 삭제]를 통해 검사에 소요되는 시간을 줄일 수 있으며, [치료 전 검역소에 원본 백업]을 통해 오진 등에 대한 안전을 보장하고 있습니다.

● 수동 검사 : 고급 설정


알약에서는 빠른 검사와 정밀 검사의 2가지 수동 검사를 지원하고 있으며, 빠른 검사에서는 [중요 검사 영역] 이외에 [사용자 지정 영역 추가]를 통해 원하는 영역을 추가로 검사할 수 있습니다.

정밀 검사에서는 빠른 검사에서 실행하는 중요 검사 영역 이외에 [기본 검사 영역]을 추가하여 검사가 진행되며, 그 외의 폴더(파일) 영역을 모두 검사하도록 구성되어 있습니다.

검사 성능 항목에서는 기본값에서 체크 해제되어 있는 [휴리스틱 검사 사용], [압축 파일 검사], [설치 패키지 검사] 항목을 모두 체크를 하시고 수동 검사를 하시기를 권장합니다.

참고로 사용자 PC 사양에 따라 복합 파일 검사시 파일 크기 제한은 사용자가 유동적으로 지정을 하시고 이용하시기 바랍니다.

또한 수동 검사 대상은 기본값으로 설정된 [모든 파일]에 대하여 검사를 하도록 설정하여 사용자 PC에 있는 모든 파일이 검사될 수 있도록 하시기 바랍니다.

3. 검사 : 검사 공통


● 엔진 설정

알약 2.0 버전에는 기존의 알약 1.x 버전과는 다르게 알약 테라 엔진과 비트디펜더(BitDefender) 엔진에 추가적으로 보조 엔진 개념으로 영국 보안 제품에서 사용하는 소포스(Sophos) 엔진을 사용할 수 있습니다.

기본값으로 [알약 테라 + 비트디펜더]로 설치가 이루어지며, 사용자 PC 사양에 따라 사용자가 소포스 엔진을 추가하여 트리플(Triple) 엔진으로 사용하실 수 있습니다.

만약 사용자가 소포스 엔진을 추가할 경우에는 그림과 같이 [1GB 메모리 미만의 시스템 환경에서는 3개의 엔진을 모두 사용하면 시스템에 부하가 있을 수 있습니다.]라는 안내창을 생성합니다.

만약 소포스 엔진을 추가할 수 있는 PC 환경이라면 [아니오] 버튼을 클릭하여 [알약 테라 + 비트디펜더 + 소포스] 엔진으로 변경을 하시기 바랍니다.

참고로 만약 자신의 PC 사양이 저사양이라면 실시간 감시 엔진은 기본값으로 사용하시고, 수동 검사 엔진만 소포스 엔진을 추가하셔도 좋은 방법이 아닐까 생각합니다.

소포스 엔진을 추가한 경우, 환경 설정의 적용 버튼을 클릭하시면 [소포스 엔진 업데이트 안내]창이 생성되어 추가적인 소포스 엔진 관련 DB 파일을 다운로드하도록 구성되어 있습니다.

이는 알약 2.0 프로그램을 초기 설치하는 과정에서는 소포스 엔진 DB를 다운로드하지 않고 사용자가 엔진을 추가적으로 선택한 경우에만 동작하도록 하는 보조 엔진 개념입니다.

● 시작 페이지 복구

[시작 페이지 자동 복구 사용] 항목에 체크를 할 경우, 악성코드 감염으로 인해 사용자가 지정한 시작 페이지가 변경되었을 경우 사용자가 지정한 시작 페이지로 수정을 할 수 있도록 하는 기능입니다.

● 자가 보호

자가 보호 기능은 악성코드 감염으로 인하여 알약 제품의 기능을 무력화하는 동작으로부터 보호를 하여 시스템을 보호할 수 있도록 하는 기능을 의미합니다.

만약 해당 기능을 끄시고 사용할 경우에는 알약 제품의 실시간 감시 기능, 업데이트 기능 등이 비정상적으로 동작하여 시스템을 보호할 수 없으므로 함부로 해당 기능을 끄지 않도록 주의하시기 바랍니다.

자가 보호 고급 설정 항목에서는 프로세스, 스레드, 알약 설치 폴더 및 파일 보호 기능으로 구분하여 보호 여부를 선택할 수 있으며, 필요에 따라서는 [접근 허용 설정] 항목을 통해 예외 처리를 할 수 있습니다.

예를 들어, 악의적으로 알약 관련 파일의 삭제를 시도할 경우 시스템 트레이 상단에 [자가 보호 알림 메시지]를 팝업창 방식으로 생성하는 것을 확인할 수 있습니다.

● 이동 저장 장치 검사

이동 저장 장치 검사 기능은 사용자 PC에 CD, 가상 CD, USB를 연결할 경우 기본값으로 지정된 빠른 검사를 통해 해당 저장 장치에 대한 감염 여부를 검사할 수 있습니다.

요즘과 같은 USB 저장 장치를 일상적으로 사용하는 환경에서는 오토런(Autorun) 바이러스와 같은 악성코드 감염이 높은 빈도로 발생하므로 필수적인 기능입니다.

4. 검사 : 탐지 제외

(개선할 점) 해당 환경 설정의 [탐지 제외] 메뉴와 [탐지 제외 설정]의 띄어쓰기 부분은 수정이 필요해 보입니다.

탐지 제외 항목은 실시간 감시와 수동 검사시 제품에서 진단되지 않도록 예외 처리를 할 수 있는 기능입니다.

예외 처리 방식은 진단창에서 제외 처리를 하거나 사용자가 환경 설정에서 직접 추가하는 방식으로 구성되어 있습니다.

제외 설정 추가 옵션에서는 제외 방법으로 탐지명, 파일, 레지스트리, Host 설정 방식으로 구분되어 있으며, 사용자가 원하는 제외 방법에 따라 세부적인 정보를 추가하시면 됩니다.

특히 제외 처리시 실시간 감시와 수동 검사 중에서 선택적으로 제외 처리가 가능하다는 장점이 있습니다.

참고로 탐지명 제외 처리는 해당 진단명으로 진단되는 다수의 변종 악성코드에 위험이 노출될 수 있으므로 되도록 [파일 - 경로 + 파일명] 제외 방식으로 제외 처리를 하시기를 권장합니다.